Разгадка ЦРУ-шного кода Kryptos на три части состояла из математики и на одну — из детективной работы

35-летняя сага о Kryptos, загадочной скульптуре с четырьмя зашифрованными сообщениями, расположенной перед штаб-квартирой ЦРУ, только что приняла странный поворот. Первые три отрывка криптографы разгадали уже в 1990-х годах, всего через несколько лет после того, как художник Джим Санборн установил медный монолит. А вот четвёртый отрывок, известный как K4, оставался неприступной крепостью, состоящей из 97 символов, 35 лет — вплоть до 2 сентября, когда журналисты Джаретт Кобек и Ричард Бирн обнаружили ответ в архивах Смитсоновского института.

Как взломать самый известный в мире код? Прорывы в деле Kryptos дают представление об игре в кошки-мышки между создателями кодов и взломщиками, которая определяла информационную безопасность на протяжении тысячелетий.

Основная задача криптографии — безопасно отправить секретное сообщение в присутствии подслушивающих. Стратегия всегда включает в себя одни и те же компоненты: сообщение, называемое открытым текстом, искажается (шифрование), так что любой, кто его перехватит, увидит только бессмысленный набор символов (зашифрованный текст). В идеале расшифровать его должны суметь только те, кто имеет секретный ключ. Если вы поделитесь своим секретным ключом только с предполагаемым получателем и ни с кем больше, то теоретически вы сможете общаться с ним с помощью кода. Криптография лежит в основе не только шпионских сообщений, но и повседневных финансовых транзакций и онлайн-коммуникаций.

Чтобы понять Kryptos, нам нужно углубиться в ранние криптосистемы и причины их провала. Один из самых простых и старых методов шифрования восходит к историческому хранителю секретов: Юлию Цезарю. Шифр Цезаря зашифровывает сообщения, сдвигая каждую букву алфавита на определённое количество позиций. Ключом здесь является число от 1 до 25. Допустим, мы выбрали 5. Зашифрованным словом «hello» будет «mjqqt», потому что M находится на пять букв после H, J — на пять букв после E и так далее. (Если вы дошли до конца алфавита, возвращайтесь к началу.) Более интересный пример: проницательные поклонники фильма «2001: Космическая одиссея» заметили, что имя злобного искусственного интеллекта HAL означает «IBM», если, используя шифр Цезаря, сдвинуть все буквы на одну назад. (Режиссёр Стэнли Кубрик настаивал, что это было совпадение.) Хотя Цезарь доверял этому методу для своей конфиденциальной переписки, это плохой способ защиты государственных секретов. Если противник узнает, что вы шифруете сообщения с помощью шифра Цезаря, ему нужно будет попробовать только 25 различных ключей, чтобы восстановить исходный текст.

Наиболее естественным усовершенствованием является общий шифр подстановки. Вместо простого сдвига алфавита вы его перемешиваете. Буква A может стать Q, B может стать X, C может стать D и так далее, в произвольном порядке. Это кажется гораздо более безопасным. Шифр Цезаря имеет только 25 возможных ключей, а полный шифр подстановки уже 403 291 461 126 605 635 584 000 000. (Существует 26-факториал способов перемешать алфавит, или 26 × 25 × 24 × 23 ... 3 × 2 × 1.) Перебор всех ключей методом грубой силы невыполним, но шифры подстановки по современным стандартам всё ещё крайне небезопасны. Если вы ещё не знаете, почему, спросите себя, как бы вы расшифровали страницу текста, зашифрованного с помощью шифра подстановки.

Недостаток шифра подстановки заключается в том, что он оставляет неизменными языковые закономерности. Английский язык имеет свои характерные особенности. Буква E используется более чем в 12 процентах случаев в английском тексте, тогда как буква Z встречается менее чем в 0,1 проценте случаев. Если вы перехватили страницу бессмысленного текста, зашифрованного с помощью подстановки, и буква J встречается чаще, чем любая другая, можно с большой долей вероятности предположить, что J означает E. Второй по частоте встречаемости буквой, вероятно, будет T. Кроме того, однобуквенные слова почти наверняка означают A или I (единственные часто используемые однобуквенные слова в английском языке), а распространённые двух- и трёхбуквенные слова также могут помочь дешифровщикам. Этот метод, называемый частотным анализом, является предметом популярных газетных головоломок, называемых криптограммами; он также сыграл важную роль в расшифровке первых трёх отрывков Kryptos.

Санборн зашифровал первые два сообщения Kryptos, названные K1 и K2, которые содержат 63 и 372 символа соответственно, используя шифр следующего уровня сложности: шифр Виженера. Изобретённый в XVI веке и названный в честь криптографа Блеза де Виженера, он оставался неразгаданным в течение 300 лет, что принесло ему прозвище «le chiffre indéchiffrable» (неразгадываемый шифр). Он работает путём применения нескольких различных шифров Цезаря к одному открытому тексту. Например, мы можем сдвинуть первую букву сообщения на 19, вторую — на 16, третью — на 25 и затем повторить. (Четвёртая буква сдвигается на 19, пятая — на 16, шестая — на 25 и так далее). Эти сдвиги составляют ключ, который обычно представляется словом, соответствующим этим позициям в алфавите. В данном случае ключом является SPY, поскольку S, P и Y являются 19-й, 16-й и 25-й буквами.

Шифр Виженера гениально обходит простой анализ частотности, потому что, например, не все буквы E будут сопоставляться с одной и той же буквой. Представьте, что первые две буквы сообщения — это E. Первая сдвигается на 19 и становится X, а вторая — на 16 и становится U. Но умные криптоаналитики всё равно могут взломать шифр. Если вы можете угадать длину ключа (например, три для SPY), вы можете разбить проблему на части. Вы берёте первую, четвёртую, седьмую и десятую буквы и так далее из зашифрованного текста и складываете их в стопку. Все они были сдвинуты в соответствии с одной и той же ключевой буквой: S. Теперь вы можете провести частотный анализ только этой стопки. То же самое делаете для второй, пятой и восьмой букв, сдвинутых в соответствии с P, и так далее. «Неразгадываемый» шифр превращается в три простых шифра Цезаря. Не уверены в длине ключа? Внимательное изучение зашифрованного текста иногда может дать подсказки, но если всё остальное не помогает, попробуйте все возможные длины. Слишком трудоёмко? Компьютерная программа может помочь с поиском.

Санборн зашифровал K1 и K2 с помощью ключей «PALIMPSEST» и «ABSCISSA» соответственно. Первый ключ, палимпсест, выбранный по поэтическим соображениям, означает текст, который был стёрт и переписан несколько раз. Второй, абсцисса — это координата x пары координат (x, y). Как и принято в шифрах Виженера, Санборн также использовал модифицированный алфавит для сдвига: в данном случае KRYPTOSABCDEFGHIJLMNQUVWXZ, который он выгравировал на скульптуре.

Санборн сменил метод для K3, шифротекста из 337 символов. Здесь он выбрал шифр перестановки, в котором просто перемешал все буквы в сообщении, как если бы это была огромная анаграмма. Перемешивание в этом типе шифра обычно следует определённым правилам, чтобы предполагаемый получатель с ключом мог легко восстановить буквы в правильном порядке. Криптографы сразу заподозрили, что в K3 использовался именно этот шифр. Как? Вы угадали — с помощью частотного анализа. Распределение букв в шифротексте соответствовало тому, что ожидалось бы в типичном английском тексте, что позволяло предположить, что буквы не были заменены, а просто перемешаны.

По крайней мере три независимые группы расшифровали первые три сообщения Kryptos. В 1999 году компьютерный учёный Джим Джиллоги объявил, что он взломал их с помощью компьютера. Только тогда ЦРУ раскрыло, что его аналитик Дэвид Стейн разгадал все три вручную в 1998 году. И только тогда Агентство национальной безопасности объявило, что небольшая внутренняя команда разгадала их ещё в 1992 году.

K4 сопротивлялся всем попыткам в течение 35 лет. Возможно, Санборн намеренно увеличил его сложность, чтобы отразить прогресс, достигнутый в криптографической науке со времён Виженера. Взлом полноценной современной криптографии означал бы не просто более умное использование частотного анализа, а революцию в нашем понимании самой математики. Это потому, что передовое шифрование скрывает информацию за математическими задачами (такими как факторизация огромных чисел), которые, как предполагается, невозможно решить за разумное время. Взломать шифрование означало бы найти быстрое решение этих якобы невыполнимых задач, что опровергло бы основополагающее предположение современной математики.

Этой осенью Санборн планировал выставить на аукцион решение K4 — зашифрованное сообщение, начинающееся с «OBKR», — чтобы избавиться от роли единственного хранителя его секретов. В объявлении об аукционе упоминались оригинальные «таблицы кодирования» в Смитсоновском институте. Вместо того чтобы фактически расшифровать K4, журналисты Кобек и Бирн запросили доступ к документам и нашли обрывки бумаги, содержащие открытый текст K4. 3 сентября дуэт отправил Санборну по электронной почте решение.

Журналисты, обнаружившие ответ на K4 в архивах Смитсоновского института, прекрасно иллюстрируют, как хакеры проникают в криптографию XXI века: через «чёрный ход». Насколько известно, современное шифрование, которое защищает ваши электронные письма и покупки по кредитным картам, при правильной реализации работает. Утечки данных редко являются результатом взлома шифрования хакерами, а скорее результатом нахождения другого слабого звена в цепочке безопасности. Они проводят фишинговые атаки, чтобы обманом заставить людей раскрыть свои учётные данные. Они используют ошибки в коде веб-сайтов. То есть они нацелены на несовершенных, забывчивых и неорганизованных людей, которые используют шифрование. Обнаружение открытого текста K4 было похоже на нахождение чьего-то пароля, нацарапанного на стикере в офисе. Некоторые считают такой финал разочаровывающим, но мы можем также рассматривать его как подходящую метафору для произведения искусства, призванного почтить криптографию на протяжении веков.

Похоже, что это не точка зрения художника: Санборн попросил журналистов подписать соглашения о неразглашении. (Они отказались.) Если вам всё ещё нужна загадка, считайте, что вам повезло — что общественность пока не знает, что содержит K4 и как он был зашифрован. Никто до конца не понимает загадочных сообщений, которые раскрыли K1–K3. Санборн также подтвердил существование K5 в открытом письме, опубликованном в августе этого года. Дешифровщикам есть на что надеяться в следующей эре Kryptos.